Suche Firewall für kleines Unternehmen

[dipii]

Die größte Anforderung ist nach aktuellem Stand die Home-Office-PCs und die Road-Warrior-Laptops an das NAS/ die zukünftigen Windows-Freigaben anzuschließen. Damit die Beschäftigten von unterwegs auf die Daten zugreifen können etc. Ggfs. auf die Telefonanlage wenn die Fritzbox in Zukunft mal ersetzt werden sollte und das nötig ist.
Auch ist es in der Zukunft gewünscht eine gewisse Ausfallsicherheit für den Internetanschluss zu bieten, ohne Internet liegt die Arbeit still (daher der zweite geplante Anschluss)

Andere interne Dienste gibt es zurzeit (noch) nicht. Alles andere ist fremdgehostet.

 

[chr1zZo]

Moin, an den TE:

Wo ist Dein Anforderungskatalog?
Ohne diesen, würde ich gar nicht so ein (kleines) Projekt starten.

Oben wurden ja schon FW benannt. -> Die üblichen Verdächtigen.

Mir stellt sich die Frage: Warum brauchts Du / Kunde überhaupt eine FW?
Welche Dienste sollen denn überhaupt im Netz angeboten weren?

Grüße

FW im Unternehmen finde ich heutzutage einfach ein "MUSS". Nur will das noch nicht jeder wahrhaben, und wenn dann der Krypto Trojaner kommt, oder dir Firmendaten abgesaugt usw. usw., dann ist das geschrei groß. Erst recht wenn es kein Offline Backup gibt, und die guten Freunde dir deine QNAP gleich noch mit versiegelt haben inkl. aller Daten

Anforderungskatalog.. ein Lastenheft

Bei Netgate/PFsense kann man entspannt schauen auf der Website was es gibt. Ab der 6100er Serie wegen Doppel WAN.

Sophos ab der XGS 116er.

Soll ja auch bissel halten und Reserven in der Zukunft haben. Für erweitere Funktionen bedarf es aber einer Lizenz bei Sophos.

@dipii Hast du denn eine Topologie, wie was wo in welchem Netzwerk laufen wird? Thema VLANs z.B.?

 

[dipii]

@dipii Hast du denn eine Topologie, wie was wo in welchem Netzwerk laufen wird? Thema VLANs z.B.?

Bisher nur in meinem Kopf und noch nicht zu Papier gebracht. Bisher hält es sich ja auch in Grenzen mit den Geräten. Ich werde das in den nächsten Tagen mal skizzieren und alles zusammen mit den Angeboten in die Diskussion einbringen. Danke

 

[chr1zZo]

Bisher nur in meinem Kopf und noch nicht zu Papier gebracht. Bisher hält es sich ja auch in Grenzen mit den Geräten. Ich werde das in den nächsten Tagen mal skizzieren und alles zusammen mit den Angeboten in die Diskussion einbringen. Danke

Ja es gibt noch mehrere Anbieter. Selbst LANCOM hat Firewalls. Ein Systemhaus entscheidet auch max. für 2 Anbieter. Sonst wird das zuviel Input. pfsense/Netgate ist recht einfach, es gibt ne menge Youtube Videos und eine große Community. Man kann ne menge damit machen. Andere Anbieter haben natürlich entsprechenden Funktionen die mehr schützen als ne pfsense. Aber dafür bezahlt man auch.

Ich selber arbeite mit Sophos und pfSense. SonicWall hatten wir uns klar dagegen entschieden. FortiNet ist auch ganz gut.

 

[snaxilian]

Andere interne Dienste gibt es zurzeit (noch) nicht. Alles andere ist fremdgehostet.

Warum genau wollt ihr euch dann weitere Dienste inhouse rein holen?
Nutzt ihr ms365? Wenn ja warum dann da nicht OneDrive für die Daten der MAs und Sharepoint nutzen? Ist schon beim kleinsten Paket inkludiert.

Ist IT und der Betrieb davon eure Kernkompetenz? Ich vermute ja eher nein denn es scheitert ja schon bei der konkreten und sinnvollen Aufstellung eines Lastenhefts...
Warum ein kleines NAS gegen einen Windows Server tauschen? Also klar der bietet mehr Leistung bei mehr Aufwand und höheren Kosten^^
In wenigen Jahren dann wieder Anschaffung neuer Hardware und Lizenzen oder wird das hier nur die nächste Gammelbude wie es jetzt schon hunderte gibt mit Buchhaltung auf der XP Kiste und auf dem Server läuft ein Win Server 2003 weil "es ja läuft" und der Chef nicht schon wieder tausende Euro ausgeben will?^^
Ja, das war jetzt überspitzt dargestellt aber darauf läuft es oft genug hinaus.

Auch Firewalls sind mehr als nur hinstellen, ggf. ne handvoll Regeln rein werfen, VPN User anlegen und dann für x Jahre vergessen bis man eine neue kauft.
So ziemlich alle größeren Hersteller haben in den letzten 1-2 Jahren einen Haufen CVEs gesammelt weil dies lukrative Einstiegspunkte sind für Ransomware & Co und ja für pf-/opnSense sieht es vermeintlich gut aus aber wenn da eine Lücke beim VPN bekannt werden sollte taucht die nicht bei pf-/opnSense auf sondern bei OpenVPN oder Wireguard also müsste man diese und andere zusammen suchen und drauf addieren

Auch will man im besten Fall 2FA/MFA für Zugriff auf Firmendaten und nur notwendige Berechtigungen für die Mitarbeiter auf den Systemen anstatt dem bei vielen KMUs üblichen lokalen Admin... Alles Dinge die in ein rudimentäres Sicherheitskonzept gehören würden und vieles davon ließe sich mit Bordmitteln schon umsetzen aber das erfordert Knowhow und Einarbeitung der Admins. Da ist es aus Sicht des Chefs natürlich einfacher, ne Firewall zu kaufen, hinzustellen und zu hoffen^^

@chr1zZo Die meisten Kleinstunternehmen haben im besten Fall, wenn überhaupt, nur eine Firewall die eingehenden Traffic filtert aber weder eine interne Netzsegmentierung inkl. dazwischen geschalteten Firewallregeln oder gar eine Prüfung und Filterung bei ausgehendem Traffic. Würde man sich wünschen ja aber die Realität sieht anders aus.

 

[kutjub]

FW im Unternehmen finde ich heutzutage einfach ein "MUSS". Nur will das noch nicht jeder wahrhaben, und wenn dann der Krypto Trojaner kommt, oder dir Firmendaten abgesaugt usw. usw., dann ist das geschrei groß. Erst recht wenn es kein Offline Backup gibt, und die guten Freunde dir deine QNAP gleich noch mit versiegelt haben inkl. aller Daten

Anforderungskatalog.. ein Lastenheft

Bei Netgate/PFsense kann man entspannt schauen auf der Website was es gibt. Ab der 6100er Serie wegen Doppel WAN.

Sophos ab der XGS 116er.

Soll ja auch bissel halten und Reserven in der Zukunft haben. Für erweitere Funktionen bedarf es aber einer Lizenz bei Sophos.

@dipii Hast du denn eine Topologie, wie was wo in welchem Netzwerk laufen wird? Thema VLANs z.B.?

Also, wer keine Backups macht braucht auch keine FW !
Da ist eh schon alles verloren.

Ich bleib dabei, wenn nichts ins Internet muss (portöffnung etc.) und kein Zugriff von aussen erfolgt,
dann ist eine FW nicht das Wichtigste.

Es gibt Themen die sind wichtiger. Sicherungskonzept (GFS / offline), Archivierungskonzept, revisionssichere Aufbewahrung von Mails u.a. § 147 AO, USV Strom etc.

@ TE:

Habe privat LANCOM (Router) und Sophos (FW) im Einsatz.
Überschaubare Lösung, kann auch für KMU verwendet werden.

[B]snaxilian[/B] hat schon oben alles andere gesagt und ich schliesse mich da an.​

Viel Erfolg....

 

[domii666]

Ich würde dort eine kleine FortiGate ins Auge fassen. Wie sieht es denn mit der Bereitschaft aus, für Support & Co. einen jährlichen Beitrag zu leisten? Unabhängig der Marke macht so eine Firewall erst wirklich Sinn, wenn Antivirus, IPS, Web- & Applikationssilter etc. immer vom Herstelle aktuell gehalten werden. Und das kostet Geld.

welche Fortigate würdest du denn empfehlen?

 

[Ja_Ge]

welche Fortigate würdest du denn empfehlen?

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf
Wir haben neben der 2600F noch "kleine" 60F für ein paar Außenstellen als Cluster (also je 2 Geräte), in der Kategorie würde ich schauen.
Allerdings gehört zumindest ein FortiCare Pack und eine ausgiebige Schulung (ggf. durch einen Dienstleisters deines Vertrauens) dazu. Zumindest den NSE4 solltest du machen, in Selbstschulung auch kostenlos:

https://www.fortinet.com/de/trainin...aign=Freetraininginitiative#advanced-training
NSE 5 und 6 fand ich auch sehr informativ, allerdings wären die Produkte bei euch Overkill.
Für die VPN müsstest du auch noch Tokens erwerben.
Aber wie gesagt, lass dich beraten.

EDIT: Hier noch die Infos über die kostenlosen Schulungen:
https://www.fortinet.com/de/corpora...training-courses-to-build-industrys-workforce
Dort findest du auch den Link zum "Free Cybersecurity Traning":
https://training.fortinet.com/?utm_source=pr&utm_campaign=2019-q3-nse-institute

 

[domii666]

ja Training brauche ich keines, arbeite damit beruflich, allerdings hab ich keinen Plan bei den kleinen, aber 60F hört sich gut an. suche was für Zuhause, sorry dass ich da den Thread Kaper.

 

[Ja_Ge]

ja Training brauche ich keines, arbeite damit beruflich, allerdings hab ich keinen Plan bei den kleinen, aber 60F hört sich gut an. suche was für Zuhause, sorry dass ich da den Thread Kaper.

Die 60F kann über den USB WWAN, also LTE Stick als Fallback mit Huawei od. anderen Sticks, und es gibt 19 Zoll Rack Mounts. Zuhause für mich alleine würde es auch eine kleinere tun.

 

[domii666]

ja muss mich mal einlesen. Hätte am liebsten lte und dsl als Trunk. Und vernünftigen vpn Tunnel. Ebenso wichtig wäre ips und antivir.

 

[Snakeeater]

Ich bin für meine Firma auf der Suche nach einem Routerersatz, da die aktuelle Lösung völlig veraltete Sicherheitsprotokolle nutzt und völlig veraltetes Featureset mitbringt.

• Keine Möglichkeit Bandbreiten Auslastung auszulesen
• MAC Filterung, extrem starr konfigurierbar, erst durch Aktivierung des Filters lassen sich MACs eintragen

Das sind so die Hauptgründe für den Wechsel der Hardware. Nun habe ich den Thread etwas überflogen und hier wurde bereits bei einer deutlich kleineren Bude zu einer Systemhauslösung geraten. Ich habe persönlich keine hinreichenden Erfahrung mit Pfsense/Opnsense und Co, würde dennoch gern zumindest einmal schauen was es für Lösungen gibt die man selbst aufsetzen kann.
Mögliche Funktionen die für die Zukunft gewünscht sind:

• Netzwerksegmentierung

Als VPN Lösung nutzen wir seit neuestem ein selbstgehosteten Wireguard Container auf einem Server im internen Netz. Und bisher scheint das recht gut zu funktionieren, jedenfalls deutlich besser als die vorige Lösung über eine Lancom interne VPN Lösung mit IKEV1.

Momentan habe ich folgendes Produkt ins Auge gefasst:

https://shop.nitrokey.com/de_DE/shop/product/nitrowall-279

Habe wie oben beschrieben keine Erfahrung mit Opnsense, aber nehme an das man mit Hilfe der GUI sich zurecht finden kann, nach gewisser Einarbeitung?

Falls hier noch jemand Vorschläge hat, bin ich offen für jegliche Hinweise.

 

[Raijin]

Nun habe ich den Thread etwas überflogen und hier wurde bereits bei einer deutlich kleineren Bude zu einer Systemhauslösung geraten. Ich habe persönlich keine hinreichenden Erfahrung mit Pfsense/Opnsense und Co, würde dennoch gern zumindest einmal schauen was es für Lösungen gibt die man selbst aufsetzen kann.

Die Sicherheit einer Firewall kommt nicht durch den reinen Einsatz von pfSense und Co allein, sondern durch die fachgerechte Konfiguration. Deswegen wird meistens zu einem Systemhaus geraten, wenn man selbst nicht genug KnowHow für sowas hat. Ein Forum ist auch kein Ersatz dafür, sondern kann maximal einen ersten Eindruck verleihen - selbst wenn hier der eine oder andere IT-ler unterwegs ist.

Hat man das nötige Fachwissen und es geht nur um mangelnde Erfahrung im Umgang mit zB pfSense, ist das aber halb so wild, weil man sich nur etwas Zeit für die GUI oder ggfs die CLI nehmen muss, je nachdem welches Firewallsystem man einsetzt. Denn: Die Firewall-Regeln als solche bleiben ja, es geht nur darum wie man sie einpflegen muss.

Bei pfSense und OPNsense scheiden sich die Geister. pfSense ist gewissermaßen die altbewährte Basis mit vielleicht nicht ganz so moderner GUI, aber dafür einem großen Fundus an Plugins. OPNsense ist dafür etwas moderner gestaltet und "einfacher" zu bedienen, aber einige Plugins wie zB pfBlockerNG, ein Filter-DNS ähnlich wie pihole, gibt es (noch) nicht für OPNsense. Wobei, mag sein, dass es mittlerweile schon portiert wurde oder es ggfs ein anderes Plugin für OPNsense gibt.
Ich rate bei pfSense vs OPNsense immer dazu, es selbst auszuprobieren. Kleine VM installieren, testen, eigenes Urteil bilden.

 

[F31v3l]

Ich würde klären, ob du die Firewall (professionell) einrichten und betreiben kannst. Wenn nicht, bleibt nur der Weg zum IT-Fachmann. Und lieber etwas gegen dich denken, weil im Falle eines Falls sitzt du halt richtig in der Sch****, weil dein Chef sich auf dich verlassen hat (ggf. arbeitsrechtliche Konsequenzen).

Vorteil an pfSense/OPNsense ist, dass du die Hardware passend für die jeweilige Anwendung wählen kannst. Läuft halt auf einem Mini-PC mit kleinem Celeron oder als VM auf einem großen Epyc-Server.
Standardmäßig ist erstmal alles verboten. Du musst dir quasi den Weg nach draußen bzw. in andere Netze freigraben. Wenn man da nicht weiß, was man erlaubt, öffnet man unbeabsichtigt ein Scheunentor. Das widerspricht dem Sinn einer Firewall.
pfSense bringt alle paar Monate Updates. Bis dahin bleiben "Bugs" und performancebeeinträchtigende Dinge liegen. OPNsense fixed gefühlt jede Woche solche Dinge. Will man ein Plugin installieren, muss die FW auf der neuesten Version sein.

 

[Snakeeater]

Im Prinzip bin ich als IT Admin nun dafür zuständig eben genau das gesamte Netzwerk zu organisieren. Das Problem ist, die Einarbeitung in das bestehende Netz mit extrem lückenhafter Dokumentation.
Bisher habe ich keine professionelle Firewall konfiguriert und gewartet, denke aber das die simplen Anforderungen da bisher keine allzu großen Probleme darstellen sollten.

Klar wäre es schöner zu sagen das die Firewall lieber von einem Fachhaus gestellt und supportert werden sollte, nur bin ich mir nicht sicher wie toll das die Geschäftsführung hier finden würde.

Mein Plan war eigentlich mir die momentane Firewall Konfiguration anzuschauen und diese bestmöglich auf dem neuen Gerät zu spiegeln.

 

[F31v3l]

Im Prinzip bin ich als IT Admin nun dafür zuständig eben genau das gesamte Netzwerk zu organisieren.
[...]
Klar wäre es schöner zu sagen das die Firewall lieber von einem Fachhaus gestellt und supportert werden sollte, nur bin ich mir nicht sicher wie toll das die Geschäftsführung hier finden würde.

Hast du eine entsprechende Ausbildung, so dass die GF das von dir erwarten kann, oder bist du einfach derjenige, der bei IP, Switch, VPN nicht sofort weggerannt ist.

Das Problem ist, die Einarbeitung in das bestehende Netz mit extrem lückenhafter Dokumentation.
[...]
Mein Plan war eigentlich mir die momentane Firewall Konfiguration anzuschauen und diese bestmöglich auf dem neuen Gerät zu spiegeln.

Soll nur der Router/FW getauscht werden oder auch direkt weiter Hand angelegt werden? Du hast von Netzwerksegmentierung (VLAN) gesprochen. Können das die vorhandenen Switche?
Entweder baust du das neue Gerät ein oder richtest das auf die aktuellen Anforderungen ein. Ich würde nicht ausschließen, dass Einstellungen vorhanden sind, die mittlerweile nicht mehr benötigt werden.

Zumindest eine grobe Dokumentation zu haben, kann nicht schaden. Da reicht ja im Zweifel schon eine Tabelle bzw. Liste, so dass man nicht zum Switch rennen muss, ob die Verbindung zu prüfen.

 

[Snakeeater]

Ich hatte eine grundlegende IT Ausbildung und habe bereits etwas Arbeitserfahrung als Admin.
Bei Netzwerksegmentierung habe ich an Subnetting gedacht, muss aber feststellen, dass mglw. der erhoffte Effekt einer Segmentierung garn icht erreicht wird.

Eine spezifische Ausbildung zur Konfiguration von Firmenfirewalls/Routern hatte ich nicht.

Gibt es hier eventuell noch Alternativvorschläge für Routerhardware, die evtl. leichter zu konfigurieren sind als ein Opnsense gerät? Ansonsten würde ich mal schauen was so typische Hardware ist auf die man solch ein Firewall OS aufspielen kann.
Gerne hätte ich noch eine preislich günstigere Alternative zu https://shop.nitrokey.com/de_DE/shop/product/nitrowall-279

 

[b1nb4sh]

@Snakeeater
Warst du schon einmal auf dem Opnsense Wiki?
Wiki
Dort wird alles erklärt und Schritt für Schritt eine Konfiguration durchgeführt. Thomas Krenn hat dazu auch noch genügend Artikel.
Was die Geräte betrifft gibt es den Installer, der in der Default Einstellung keine Optimierung bedarf.
Du musst nur auswählen, ob UFS oder ZFS, den Rest kannst du auf Standard belassen. Nach der Installation schreibt er dir sogar hin, welcher Port dein Lan Port ist, ab dann hast du einen Webzugriff.
Als Hardware kann man alles nehmen, solange es vom Installer unterstützt wird, als Hersteller kann ich folgendes empfehlen
Netgate
PCEngines (eher im Soho)
OPnsense Shop
Scope7

und zum Schluss, falls du nur was zum Testen suchst, irgendeine Firewallappliance aus China

 

[Bob.Dig]

Gerne hätte ich noch eine preislich günstigere Alternative zu https://shop.nitrokey.com/de_DE/shop/product/nitrowall-279

Warum? Das ist doch eher günstiger. Ich würde an eurer Stelle für die Firma eine offizielle Appliance von OPNsense oder pfSense holen, wenn Du die Ausbildung hast, wie Du sagst, wirst du es mit etwas Einarbeitung schon hinkriegen. Ich hab keine Ausbildung genossen und es auch hingekriegt. Wenn Du aber keine Ahnung hast, beauftragt ihr halt ein Systemhaus und dann zahlst ihr noch für die Beratung oben drauf.

 

[Snakeeater]

Kannst du mir kurz sagen was du mit offizielle Appliance von OPNsense meinst?